忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT HPC论坛 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 124793 | 回复: 146

[网络管理] 《iptables 高级使用研讨》PPT 及相关源代码(讲座视频新鲜出炉!!!) [复制链接]

论坛徽章:
0
发表于 2010-08-09 09:19 |显示全部楼层
本帖最后由 platinum 于 2010-10-20 14:54 编辑

8 月 7 日和各位热心网友一起探讨了一下如何使用 iptables 的高级功能
现将当时的 PPT 及讲座相关的源代码放上来
也许有美中不足之处,欢迎大家指出,一起探讨

相关连接:
        《2 小时玩转 iptables》http://linux.chinaunix.net/bbs/thread-722462-1-1.html
        讲座视频:http://v.zz.ku6.com/play.php?vid=JTNNaAM8YSTP6RGJ

严禁灌水

iptables 高级使用研讨 v1.0.0.rar

186.64 KB, 下载次数: 8983

iptables-modules-1.0.0.tar.bz2

901.01 KB, 下载次数: 4240

评分

参与人数 5可用积分 +48 收起 理由
ubuntuer + 6 好东东啊 白金兄
renxiao2003 + 6 有机会一定要好好学习一下。原来在公司配这 ...
shenbo7 + 6 再赞一个
liying_gg + 6 精品文章
chenyx + 24 赞一个

查看全部评分

论坛徽章:
0
发表于 2010-08-09 10:14 |显示全部楼层
白金版主,有两个问题请教。

第一个,关于禁止tracert的,能不能写一条策略,禁止icmp的 ICMP time exceeded,这样不就所有的跳数都是time out了?

第二个,关于IP地址和MAC地址绑定的,在系统直接做绑定,和用iptables来做分析,哪种方式更好?

论坛徽章:
0
发表于 2010-08-09 10:23 |显示全部楼层
1、可以,如果需求是一刀切全都不允许而不是隐藏附近几跳的话你的这种做法是最好的
2、你是指在系统中直接设置静态 ARP 表吗?如果是,从效率上来讲系统级更高,但在 2.4 内核中这种做法不稳定,内核会打印一些警告信息,目前 2.6 内核没有实验过。

论坛徽章:
0
发表于 2010-08-09 10:59 |显示全部楼层
支持,课讲的非常易懂便于理解。

论坛徽章:
0
发表于 2010-08-09 11:09 |显示全部楼层
大赞,我是第一次听老大讲,受益匪浅!!

论坛徽章:
0
发表于 2010-08-09 12:13 |显示全部楼层
iptables -N MAC_CHECK
iptables -A FORWARD -i eth1 -o eth0 -j MAC_CHECK
iptables -A MAC_CHECK -s 172.16.11.101 -m mac \
--mac-source XX:XX:XX:XX:XX:XX -j RETURN
iptables -A MAC_CHECK -s 172.16.11.102 -m mac \
--mac-source YY:YY:YY:YY:YY:YY -j RETURN
iptables -A MAC_CHECK -s 172.16.11.103 -m mac \
--mac-source ZZ:ZZ:ZZ:ZZ:ZZ:ZZ -j RETURN
iptables -A MAC_CHECK -j DROP

弱弱的问一句,return 这个动作会将动作返回调用它的链,例如上面这个动作,会返回到MAC_CHECK链吗?如果返回,它是继续向下执行iptables,还是执行上面的第二句话,然而这里面没动作啊。

论坛徽章:
0
发表于 2010-08-09 12:49 |显示全部楼层
我现在的理解是如果匹配到,return跳出mac_check,返回forward链(即上次调用的父链)继续向下匹配,如果没有规则了则执行forward链默认规则(accept或drop),这样理解对吗

论坛徽章:
0
发表于 2010-08-09 13:07 |显示全部楼层
本帖最后由 platinum 于 2010-08-09 13:09 编辑
弱弱的问一句,return 这个动作会将动作返回调用它的链,例如上面这个动作,会返回到MAC_CHECK链吗?如果返回,它是继续向下执行iptables,还是执行上面的第二句话,然而这里面没动作啊。
daocaoren0311 发表于 2010-08-09 12:13


返回调用到 MAC_CHECK 的地方,也就是 FORWARD 链中的 iptables -A FORWARD -i eth1 -o eth0 -j MAC_CHECK 之后

我现在的理解是如果匹配到,return跳出mac_check,返回forward链(即上次调用的父链)继续向下匹配,如果没有规则了则执行forward链默认规则(accept或drop),这样理解对吗
daocaoren0311 发表于 2010-08-09 12:49


正确

论坛徽章:
0
发表于 2010-08-09 13:32 |显示全部楼层
谢谢版主

论坛徽章:
0
发表于 2010-08-09 13:46 |显示全部楼层
谢谢版主
daocaoren0311 发表于 2010-08-09 13:32



不客气
针对本次的 PPT 大家有什么问题可以在本贴提出,我们一起讨论
您需要登录后才可以回帖 登录 | 注册

本版积分规则

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号 北京市公安局海淀分局网监中心备案编号:11010802020122
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP